此页面由 Cloud Translation API 翻译。

收集 Radware WAF 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Google 安全运营转发器收集 Radware Web 应用防火墙 (WAF) 日志。解析器使用 Grok 模式从 Radware 防火墙 syslog 消息中提取字段，并将其映射到 UDM。它可以处理各种日志格式，根据攻击详情填充安全结果字段，并根据 attack_id 对事件进行分类，从而丰富要提取到 Google SecOps 的数据。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了带有 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保在 AppWall 上安装并配置了 Radware Vision Reporter。
确保您拥有对 Radware WAF 门户的特权访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次选择 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane Agent

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，则位于安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: radware_waf
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据基础架构中的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
在获取 Google SecOps 提取身份验证文件部分中，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane Agent，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Radware AppWall WAF

如需完成这些任务，请执行以下三项配置：

使用 Vision Reporter 配置 AppWall 独立版。
使用 Vision Reporter 在 Alteon 中配置集成的 AppWall（在事件详情中添加 HTTP 请求数据）。
配置 Vision Reporter 以将日志发送到 Bindplane 代理。

使用 Vision Reporter 配置 AppWall 独立版

使用管理员凭据登录 Radware WAF 控制台。
依次前往配置 > 服务 > 视觉支持 > 视觉报告程序。
- 选中将事件发送到 Vision Reporter 复选框，以启用日志记录。
- Vision Reporter 地址：输入 Vision Reporter 的 IP 地址。
- 端口：输入端口号。
- 协议：选择 UDP 或 TCP。
- 如需包含 HTTP 响应数据，请选中将回复发送到 Vision Reporter 复选框。
点击保存。

使用 Vision Reporter 在 Alteon 中配置集成的 AppWall（对于 HTTP 请求数据日志记录，首选此方法）

使用管理员凭据登录 Radware WAF 控制台。
依次前往配置 > 安全性 > 网站安全性 > 可见性报告程序。
- 选中将事件发送到 Vision Reporter 复选框，以启用日志记录。
- 选中将事件发送到 Vision 报告程序复选框。
- Vision Reporter IP 地址：输入 Vision Reporter 的 IP 地址。
- 端口：输入一个较高的端口号。
- 安全：选择 UDP 或 TCP。
点击保存。

配置 Vision Reporter 以将日志发送到 Bindplane Agent

登录 Radware Vision Reporter 管理控制台。
依次前往配置 > SIEM 和外部日志记录。
点击 + Add New SIEM Destination。
- Destination Name（目标名称）：输入 Google SecOps Forwarder。
- 日志导出类型：对于结构化日志记录，请选择 Syslog（RFC 5424 格式）。
- 远程 Syslog 服务器 IP 输入 Bindplane Agent 的 IP 地址。
- Port（端口）：输入 Bindplane Agent 监听的端口（例如，UDP 为 514，TCP 为 601）。
- 协议：根据绑定平面配置，选择 UDP 或 TCP。
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
`action`	`event.idm.read_only_udm.security_result.action`	如果 `action` 为“drop”，请将其设置为“BLOCK”。
`attack_desc`	`event.idm.read_only_udm.security_result.description`	直接映射。
`attack_type`	`event.idm.read_only_udm.security_result.threat_name`	直接映射。
`command`	`event.idm.read_only_udm.principal.process.command_line`	直接映射。
`description`	`event.idm.read_only_udm.security_result.description`	如果 `attack_desc` 为空，则直接映射。
`dst_ip`	`event.idm.read_only_udm.target.ip`	直接映射。
`dst_port`	`event.idm.read_only_udm.target.port`	直接映射，转换为整数。如果存在 `username` 但不存在 `command`，则设置为“MACHINE”。从原始日志的 `collection_time` 字段复制。默认为“NETWORK_CONNECTION”。如果缺少 `src_ip` 或 `dst_ip`，则将其设置为“GENERIC_EVENT”。如果 `username` 存在且 `command` 不存在，则设置为“USER_LOGIN”。可被基于 `attack_id` 的逻辑替换。设置为“RADWARE_FIREWALL”。从 `product` 字段映射而来。设置为“Radware”。
`intermediary_ip`	`event.idm.read_only_udm.intermediary.ip`	直接映射。
`obv_ip`	`event.idm.read_only_udm.observer.ip`	直接映射。
`product`	`event.idm.read_only_udm.metadata.product_name`	直接映射。
`protocol_number_src`	`event.idm.read_only_udm.network.ip_protocol`	使用 `parse_ip_protocol.include` 逻辑解析。
`rule_id`	`event.idm.read_only_udm.security_result.rule_id`	直接映射。根据 `attack_id` 的值派生。值包括“ACL_VIOLATION”“NETWORK_DENIAL_OF_SERVICE”“NETWORK_SUSPICIOUS”“NETWORK_RECON”。
`src_ip`	`event.idm.read_only_udm.principal.ip`	直接映射。
`src_port`	`event.idm.read_only_udm.principal.port`	直接映射，转换为整数。
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	已解析并转换为时间戳。
`username`	`event.idm.read_only_udm.target.user.userid`	如果 `command` 不存在，则直接映射。
`username`	`event.idm.read_only_udm.principal.user.userid`	如果存在 `command`，则直接映射。

变化

2023-12-08

修改了 Grok 模式，以正确解析“src_ip”。

2023-11-23

添加了新的 Grok 模式，以支持新的未解析 SYSLOG 模式。
添加了对“ts”新日期格式的支持。
将“attack_type”“attack_desc”“protocol_number_src”“security_result”“action”“product”初始化为 null。
在映射到“event.idm.read_only_udm.metadata.product_name”之前，对“product”添加了 null 检查。
在映射到“event.idm.read_only_udm.security_result.rule_id”之前，对“rule_id”添加了 null 检查。
在映射到“event.idm.read_only_udm.security_result.description”之前，对“attack_desc”添加了 null 检查。
在映射到“event.idm.read_only_udm.security_result.threat_name”之前，对“attack_type”添加了 null 检查。
将“username”映射到“event.idm.read_only_udm.principal.user.userid”。
将“command”映射到“event.idm.read_only_udm.principal.process.command_line”
将“description”映射到“event.idm.read_only_udm.security_result.description”。
将“intermediary_ip”映射到“event.idm.read_only_udm.intermediary.ip”。